Konfigurowanie i autoryzowanie żądań

Zanim zaczniesz programować, musisz zapoznać się z Warunkami korzystania z interfejsu Chrome Policy API, utworzyć projekt Google Cloud, włączyć interfejs Chrome Policy API i skonfigurować dane logowania.

Interfejs Chrome Policy API przestrzega uprawnień ról administratora i reguluje zdefiniowane zakresy autoryzacji.

Krok 1. Utwórz projekt Google Cloud

Do korzystania z interfejsu Chrome Policy API wymagany jest projekt Google Cloud. Ten projekt stanowi podstawę do tworzenia, włączania i używania wszystkich usług Google Cloud, w tym zarządzania interfejsami API, włączania płatności, dodawania i usuwania współpracowników oraz zarządzania uprawnieniami.

Jeśli nie masz jeszcze projektu Google Cloud, którego chcesz użyć, wykonaj poniższe czynności, aby go utworzyć:

  1. Otwórz konsolę Google Cloud.
  2. W lewym górnym rogu kliknij Menu > Administracja > Utwórz projekt.
  3. W polu Nazwa projektu wpisz opisową nazwę projektu.
  4. W polu Lokalizacja kliknij Przeglądaj, aby wyświetlić organizacje dostępne do przypisania. Wybierz organizację, w której chcesz zarządzać zasadami Chrome, a następnie kliknij Wybierz.
  5. Kliknij Utwórz. Konsola otworzy stronę panelu, a w ciągu kilku minut zostanie utworzony projekt.

Krok 2. Włącz interfejs Chrome Policy API

Aby włączyć interfejs Chrome Policy API w projekcie Google Cloud:

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz swój projekt Google Cloud.
  3. W lewym górnym rogu kliknij Menu > Interfejsy API i usługi > Biblioteka.
  4. W polu wyszukiwania wpisz „Chrome” i naciśnij Enter.
  5. Na liście wyników wyszukiwania kliknij Chrome Policy API.
  6. Kliknij Włącz.
  7. Aby włączyć więcej interfejsów API, powtórz kroki 2–5.

Krok 3. Utwórz dane logowania

Żądania wysyłane do interfejsu Chrome Policy API można uwierzytelnić jako użytkownik końcowy lub konto usługi robota.

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz swój projekt Google Cloud.
  3. W lewym górnym rogu kliknij Menu > Interfejsy API i usługi > Ekran akceptacji OAuth.
  4. Wybierz typ użytkownika aplikacji, a następnie kliknij Utwórz.
  5. Wypełnij formularz rejestracji aplikacji, a potem kliknij Zapisz i kontynuuj.

  6. Kliknij Dodaj lub usuń zakresy. Pojawi się panel z listą zakresów dla każdego interfejsu API włączonego w projekcie Google Cloud. Dodaj jeden z tych zakresów autoryzacji:

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    Zakres readonly nie zezwala na żadne operacje mutacji.

Konfigurowanie uwierzytelniania użytkowników lub kont usługi

Kliknij wybraną opcję poniżej, aby uzyskać szczegółowe instrukcje:

Opcja 1. Uwierzytelnij się jako użytkownik końcowy przy użyciu protokołu OAuth 2.0

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz swój projekt Google Cloud.
  3. W lewym górnym rogu kliknij Menu > Interfejsy API i usługi > Dane logowania.
  4. Kliknij Utwórz dane logowania > Identyfikator klienta OAuth.
  5. Wykonaj czynności potrzebne do utworzenia danych logowania OAuth 2.0.

Administrator Chrome organizacji nie wymaga specjalnej konfiguracji uwierzytelniania OAuth 2.0 w konsoli administracyjnej. Użytkownicy Twojej aplikacji muszą mieć wymagane uprawnienia roli administratora powiązane ze swoim kontem i zaakceptować ekran zgody OAuth dla aplikacji.

Wskazówka: możesz przetestować swoją aplikację w narzędziu OAuth Playground.

Opcja 2. Uwierzytelnianie jako konto usługi

Konto usługi to specjalne konto używane przez aplikację, a nie osobę. Za pomocą konta usługi możesz uzyskiwać dostęp do danych, wykonywać działania na samym koncie robota lub uzyskiwać dostęp do danych w imieniu użytkowników. Więcej informacji znajdziesz w opisie kont usługi.

Tworzenie konta usługi i danych logowania

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz swój projekt Google Cloud.
  3. W lewym górnym rogu kliknij Menu > Interfejsy API i usługi > Dane logowania.
  4. Kliknij Utwórz dane logowania > Konto usługi.
  5. Wpisz nazwę konta usługi, a następnie kliknij Utwórz i kontynuuj.
  6. Opcjonalnie: przypisz role do konta usługi, aby przyznać dostęp do zasobów projektu Google Cloud. Więcej informacji znajdziesz w artykule Przyznawanie, zmienianie i odbieranie dostępu do zasobów.
  7. Kliknij Dalej.
  8. Opcjonalnie: podaj użytkowników lub grupy, które mogą zarządzać tym kontem usługi i wykonywać na nim działania. Więcej informacji znajdziesz w artykule Zarządzanie przejmowaniem tożsamości konta usługi.
  9. Kliknij Gotowe. Po kilku minutach nowe konto usługi pojawi się na liście „Konta usługi”. (Może być konieczne odświeżenie strony).
  10. Na liście „Konta usługi” kliknij utworzone konto usługi.
  11. Kliknij Klucze > Dodaj klucze > Utwórz nowy klucz.
  12. Wybierz JSON i kliknij Utwórz.

    Nowa para kluczy publiczny/prywatny zostanie wygenerowana i pobrana na komputer jako nowy plik. Ten plik jest jedyną kopią tego klucza. Informacje o tym, jak bezpiecznie przechowywać klucz, znajdziesz w artykule Zarządzanie kluczami konta usługi.

Autoryzuj konto usługi w konsoli administracyjnej

Jeśli wybierzesz uwierzytelnianie żądań jako konto usługi, administrator Chrome w organizacji musi wykonać dodatkowe czynności w konsoli administracyjnej, aby ukończyć ten proces.

Administrator Chrome może przypisać rolę bezpośrednio do konta usługi z wymaganymi uprawnieniami roli administratora lub skonfigurować przekazywanie dostępu w całej domenie, aby konto usługi mogło przyjmować tożsamość użytkowników z odpowiednimi uprawnieniami i działać w ich imieniu.

Aby skonfigurować przekazywanie dostępu w całej domenie dla konta usługi, administrator Chrome musi wykonać te czynności w konsoli administracyjnej:

  1. Otwórz konsolę administracyjną.
  2. W lewym górnym rogu kliknij Menu > Zabezpieczenia > Dostęp do danych i kontrola nad nimi > Dostęp do interfejsów API.
  3. Kliknij Zarządzaj przekazywaniem dostępu w całej domenie.
  4. Kliknij Dodaj nowy.
  5. W polu „Identyfikator klienta” wklej identyfikator klienta powiązany z Twoim kontem usługi. Dowiedz się, jak znaleźć identyfikator klienta konta usługi
  6. W polu „Zakresy protokołu OAuth” wpisz rozdzielaną przecinkami listę zakresów wymaganych przez aplikację konta usługi. Jest to ten sam zestaw zakresów zdefiniowany podczas konfigurowania ekranu zgody OAuth.
  7. Kliknij Autoryzuj.

Krok 4. Przetestuj aplikację w narzędziu OAuth Playground

  1. Otwórz konsolę Google Cloud.
  2. U góry wybierz swój projekt Google Cloud.
  3. W lewym górnym rogu kliknij Menu > Interfejsy API i usługi > Dane logowania.
  4. Kliknij Utwórz dane logowania > Identyfikator klienta OAuth.
  5. Kliknij Typ aplikacji > Aplikacja internetowa.
  6. W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Cloud.
  7. Na czas testowania dodaj https://developers.google.com/oauthplayground do pola „Autoryzowane identyfikatory URI przekierowania”. W razie potrzeby możesz usunąć ten identyfikator URI przekierowania z aplikacji po zakończeniu testowania.
  8. Kliknij Utwórz, a następnie skopiuj do schowka zawartość pól „Identyfikator klienta” i „Tajny klucz klienta”.
  9. W nowej karcie otwórz narzędzie OAuth 2.0 Playground.
  10. W prawym górnym rogu kliknij Konfiguracja OAuth 2.0 .
  11. Wybierz Użyj własnych danych logowania OAuth. Następnie wklej „Identyfikator klienta” i „Tajny klucz klienta” skopiowane w kroku 8 i kliknij Zamknij.
  12. Po lewej stronie wykonaj instrukcje OAuth 2.0 Playground:
    • Na etapie „Krok 1. Wybierz i autoryzuj interfejsy API” dodaj https://www.googleapis.com/auth/chrome.management.policy i inne wymagane zakresy interfejsów API, a potem kliknij Autoryzuj interfejsy API.
    • W sekcji „Krok 2. Wymiana kodu autoryzacji dla tokenów” możesz opcjonalnie wybrać Automatycznie odświeżaj token przed jego wygaśnięciem.
    • W sekcji „Krok 3. Skonfiguruj żądanie do interfejsu API” wpisz identyfikator URI żądania interfejsu Chrome Policy API, modyfikując w razie potrzeby wartość „HTTP Method” (Metoda HTTP) i inne ustawienia. Przykładowe żądanie adresu URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

Krok 5. Sprawdź, czy aplikacja jest zaufana

Administrator organizacji może oznaczać aplikacje jako zaufane lub zablokowane w konsoli administracyjnej. Więcej informacji znajdziesz w artykule Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.